RN3DCX Posted September 13, 2021 Posted September 13, 2021 Прилетела задача: на windows 2019 создать папку/ресурс и выплюнуть ее в интернет. Вопрос знатокам, как нынче в 2021 году сделать это безопасно? Вставить ник Quote
rz3dwy Posted September 13, 2021 Posted September 13, 2021 Если "ЕЕ ВЫПЛЮНУТЬ", то создать ограниченную учетку, запустить(права админа не нужны) облако от майл.ру, яндекс-диск или дропбокс и настроить синхронизацию. Если же требуется доступ ИНЕТА К ПАПКЕ, то ftp, наверное. Вставить ник Quote
RN3DCX Posted September 13, 2021 Author Posted September 13, 2021 под выплюнуть подразумевал именно доступ из мира к папке. 2 часа назад, rz3dwy сказал: то ftp, наверное. ftp только на чтение и в клиентской винде прикрутить как сетевой диск? Была такая идея, но тут еще и запись нужна... Вставить ник Quote
jffulcrum Posted September 13, 2021 Posted September 13, 2021 WebDAV <webdav> | Microsoft Docs Но по дефолту файлы не более 30 Мб пролазят. И SSL настоятельно рекомендуется. Вставить ник Quote
RN3DCX Posted September 13, 2021 Author Posted September 13, 2021 @jffulcrum а на 2019 WebDAV поддерживается? IIS вроде закончил жить на 2012. 8 минут назад, jffulcrum сказал: Но по дефолту файлы не более 30 Мб пролазят. Т.е. это лечиться? нужно чтоб файлы объемом 1-2 гига пролазели. Вставить ник Quote
jffulcrum Posted September 13, 2021 Posted September 13, 2021 Только что, RN3DCX сказал: а на 2019 он поддерживается? IIS вроде закончил жить на 2012. Компонент в системе есть. 1 минуту назад, RN3DCX сказал: Т.е. это лечиться? нужно чтоб пролезало 1-2 гига. Файлы по 1-2 гига - про DAV можно сразу забыть. Тогда FTP или стройте VPN и гоняйте SMB по VPN. Вставить ник Quote
RN3DCX Posted September 13, 2021 Author Posted September 13, 2021 25 минут назад, jffulcrum сказал: Файлы по 1-2 гига - про DAV можно сразу забыть Т.е. 30 метров это потолок? 25 минут назад, jffulcrum сказал: Тогда FTP Есть ли какие-то безопасные best практики. 25 минут назад, jffulcrum сказал: VPN В т.з. просили без VPN. Вставить ник Quote
jffulcrum Posted September 13, 2021 Posted September 13, 2021 4 минуты назад, RN3DCX сказал: Т.е. 30 метров это потолок? Нет. Если на сервере подправить конфиг, а на клиенте - реестр, пролезают и сотни мегов. Но шансы пролезть гигабайту одним куском малы, вот прям совсем. 4 минуты назад, RN3DCX сказал: Есть ли какие-то безопасные best практики. Ставится IIS с компонентом FTP. Делается локальная учетка без прав вообще. Делается папка, на нее даются права учетке. В IIS делается сайт FTP на эту папку и указыватся этот пользователь как разрешенный. В общем-то всё, SSL прикрутить еще - импорт сертификата через mmc и правило в привязке и свойствах FTP сайта. Вставить ник Quote
dmp.user Posted September 13, 2021 Posted September 13, 2021 SMB security enhancements Вставить ник Quote
lugoblin Posted September 13, 2021 Posted September 13, 2021 SMB весьма чуствителен к latency. Если большие файлы перекачивать, то, может, взлетит. А если кучу мелких, или постоянный seek по большим, то будет тормозить. Сильно, причём независимо от толщины канала, что затрудняет объяснять пользователям в чём же дело. Я бы завёл специально обученную виртуалку на той-же локации что и w2019, и с одной стороны монтировал бы в неё папку по SMB, а с другой выставлял бы точку монтирования в Инет по SFTP или SSHFS. Вставить ник Quote
Ivan_83 Posted September 14, 2021 Posted September 14, 2021 15 часов назад, RN3DCX сказал: Прилетела задача: на windows 2019 создать папку/ресурс и выплюнуть ее в интернет. Вопрос знатокам, как нынче в 2021 году сделать это безопасно? Никак. Ну те ты это говно от МС ставишь, там поднимаешь гиперви с нормальным дистром линуха/фри, где у тебя стоит уже готовый дистр который делает домашнее облако со всеми возможными доступами. За пару часов задача решается если есть опыт держания такого облака дома. Потом можно выкинуть венду и переехать в другой хост виртуализации без особых проблем :) 11 часов назад, jffulcrum сказал: WebDAV <webdav> | Microsoft Docs Но по дефолту файлы не более 30 Мб пролазят. И SSL настоятельно рекомендуется. 11 часов назад, jffulcrum сказал: Файлы по 1-2 гига - про DAV можно сразу забыть. Тогда FTP или стройте VPN и гоняйте SMB по VPN. http://netlab.dhis.org/wiki/ru:software:nginx:webdav клиент вебдав в венде в семёрке был полным говном, и видимо таким и остался. Лимит там 4ГБ на файл и видимо это хардкод от DWORD = uint32_t с давних времён. Этот дебильный клиент любой файл скачивает к себе в системный темп целиком и потом отдаёт хэндл приложению, а потом видимо закачивает обратно если что то поменялось. Вставить ник Quote
RN3DCX Posted September 14, 2021 Author Posted September 14, 2021 5 часов назад, Ivan_83 сказал: Никак. Ну те ты это говно от МС ставишь, там поднимаешь гиперви с нормальным дистром линуха/фри, где у тебя стоит уже готовый дистр который делает домашнее облако со всеми возможными доступами. За пару часов задача решается если есть опыт держания такого облака дома. Потом можно выкинуть венду и переехать в другой хост виртуализации без особых проблем :) Иван, где конкретика? Какое облако? Нахрена мне домашнее облако для энтерпрайза? Давай пруф в студию! Вставить ник Quote
jffulcrum Posted September 14, 2021 Posted September 14, 2021 22 часа назад, dmp.user сказал: SMB security enhancements SMB сам по себе безопасен, а вот авторизация - не очень, если нет домена. Плюс, опасность представляет сам открытый порт 445 - дырок, увы много, хоть последние в удалённой печати пачка. Есть SMB over QUIC | Microsoft Docs. Но это бета. И наверняка тоже со всякими печалями. Вариант - подписка на Office365 с OneDrive Business. Дают терабайт на организацию. Но эвто облако, просто можно синхронизировать папки между сервером и клиентами через него. Можно вариант с Sharepoint, но это целая история, и не тот продукт, что может жить без присмотра и ухода. Суровый вариант - iSCSI. Но защита только chap-пароль, плюс с говёным каналом там делать нечего, и вообще желателен IPv6. Вставить ник Quote
Ivan_83 Posted September 15, 2021 Posted September 15, 2021 21 час назад, RN3DCX сказал: Нахрена мне домашнее облако для энтерпрайза? Ну не помню я названий дистров для этого всего, сам погугли. Основная идея что венду нахер с её убожеством, но формально она типа есть и типа работает. https://www.tecmint.com/free-open-source-cloud-storage-tools-for-linux/ https://www.geckoandfly.com/24024/self-hosted-cloud-storage/ https://www.ubuntupit.com/best-cloud-storage-for-linux-reviewed-and-compared-for-linux-nerds/ https://www.slant.co/topics/4505/~self-hosted-cloud-storage-solutions Кажется nextcloud советовали, но можно ещё повыбирать. Может что то даже под венду нативно работает, но я бы не связывался, вертуалку хотя бы бэкапить и переносить легко, в отличии от венды. Вставить ник Quote
naves Posted September 15, 2021 Posted September 15, 2021 (edited) Непонятно зачем винда, ну да ладно. minio s3 поставьте, модно стильно, молодежно, есть s3, можно смотреть из браузера, настраиваются доступы на каталоги и юзеры. Совместимо со многими облачными клиентами. Поставили бы linux samba, да через фаервол оставили бы доступ только для нужных адресов, ресурсов нужно минимум, а тут целая винда голой ж в интернет. Edited September 15, 2021 by naves Вставить ник Quote
RN3DCX Posted September 15, 2021 Author Posted September 15, 2021 58 минут назад, naves сказал: Непонятно зачем винда, ну да ладно. Это первоначальное Т.З. 53 минуты назад, naves сказал: а тут целая винда голой ж в интернет Вот в том то и дело... Поэтому и написал как нынче в 2021 году сделать это безопасно? 1 час назад, naves сказал: Поставили бы linux samba, да через фаервол оставили бы доступ только для нужных адресов Мысль хорошая, да большинство работает с динамических ip-ов. Вставить ник Quote
RN3DCX Posted September 15, 2021 Author Posted September 15, 2021 Ок, если с виндой дело бесперспективное, буду аргументированно менять Т.З. на linux/unix. Тут тоже прошу посоветовать как безопаснее дать доступ из мира к ресурсу? Вставить ник Quote
naves Posted September 15, 2021 Posted September 15, 2021 Вы так и не сказали, какие у вас клиенты будут подключаться. Самый безопасный, наверное, через ssh клиентом типа filezilla или winscp, авторизация по ssh-ключам. Ну или как выше говорили, ставьте nextcloud, там и браузер и версионирование и всякие плагины для совместной работы. Вставить ник Quote
st_re Posted September 15, 2021 Posted September 15, 2021 А еще про размеры, количество, нагрузку и вообще ... 10000 одних курьеров блогоров грузящих HD ролики по пол часа или 1.5 калеки заливающих текстовые файлики раз в 1.5 недели предполагает совершенно разные решения.. Я конечно грузил в некстклауд 60г файлы после некоего тюнинга, но не надо некстклауд к таким задачам, а вот под фоточки с телефона или не шибко большое видео очень даже неплохо.... ну и паралельная закачка-скачка сотней человек в некстклауде, то еще решение, всётаки пых он сильно жрёт ресурсы на каждый воркер, а файлы в обе стороны оно через пых отдаёт. а в тот же фтп сотнями параллельных закачек обычно ничего.. но многие любят мышевозяканье и приложеньку с автосинком.. опять же как права раздавать.. тот же некстклауд дружится с АД или через лдап или через SAML на ура.. не виндовый ФТП, умеющbй юзеров из АД, сначала придётся найти (нет, скорее всего он есть, как минимум ЛДАП в PAM линуксы могут, многие ФТП сервера умеют авторизацию в PAM)..если вообще это надо, конечно.. Вставить ник Quote
roysbike Posted September 16, 2021 Posted September 16, 2021 В 15.09.2021 в 10:52, RN3DCX сказал: Ок, если с виндой дело бесперспективное, буду аргументированно менять Т.З. на linux/unix. Тут тоже прошу посоветовать как безопаснее дать доступ из мира к ресурсу? веб сервис с доступом к файлам и спрятать сервер за cloudflare Вставить ник Quote
Ivan_83 Posted September 16, 2021 Posted September 16, 2021 18 часов назад, naves сказал: Самый безопасный, наверное, через ssh клиентом типа filezilla или winscp, авторизация по ssh-ключам. Вендузятникам бы только страданий. sshfs - вещь! Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.